Microsoft Entra 建议：从 Azure Active Directory 身份验证库迁移到 Microsoft 身份验证库

Microsoft Entra 建议功能提供个性化的见解和可操作的指导，使你的租户与推荐的最佳做法保持一致。

本文介绍从 Azure Active Directory 身份验证库 (ADAL) 迁移到 Microsoft 身份验证库的建议。 此建议在 Microsoft Graph 的建议 API 中称为 AdalToMsalMigration。

说明

ADAL 目前计划于 2023 年 6 月 30 日终止支持。 我们建议客户迁移到 Microsoft 身份验证库 (MSAL)，MSAL 将取代 ADAL。

如果租户具有仍使用 ADAL 的应用程序，则会显示此建议。 服务将租户中从 ADAL 发出令牌请求的任何应用标记为 ADAL 应用程序。 同时使用 ADAL 和 MSAL 的应用程序被标记为 ADAL 应用程序。

当应用程序识别为 ADAL 应用程序时，建议每天回顾 30 天，以查找租户内应用程序的任何新 ADAL 请求。 如果 ADAL 建议在 30 天内没有发送任何新 ADAL 请求，则建议被标记为已完成。 所有应用完成后，推荐状态将更改为已完成。 如果为已完成的应用检测到新 ADAL 请求，则状态将变回活动状态。

值

MSAL 设计用来提供安全的解决方案，使开发人员无需担心实现细节。 MSAL 简化了获取、管理、缓存和刷新令牌的方式。 MSAL 还采用最佳做法以增强复原能力。 有关迁移到 MSAL 的详细信息，请参阅将应用程序迁移到 MSAL。

使用 ADAL 的现有应用将在支持结束日期后继续运行。

操作计划

将应用从 ADAL 迁移到 MSAL 的第一步是标识租户中当前使用 ADAL 的所有应用程序。 可使用 Microsoft Graph API 或 Microsoft Graph PowerShell SDK 以编程方式识别应用。 如需针对 Microsoft Graph PowerShell SDK 的步骤，可在 Microsoft Entra 管理中心查看建议详细信息。

Microsoft 图形 API

可以使用 Microsoft Graph 来识别需要迁移到 MSAL 的应用。 如果要开始使用，请参阅如何将 Microsoft Graph 与 Microsoft Entra 建议配合使用。

1. 登录到图形资源管理器。
2. 从下拉列表中选择 GET 作为 HTTP 方法。
3. 将 API 版本设置为“beta 版本”。
4. 在 Microsoft Graph 中运行以下查询，将 <TENANT_ID> 占位符替换为租户 ID。 此查询将返回租户中受影响资源的列表。
   • https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

以下响应提供使用 ADAL 的受影响资源的详细信息：

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "
df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}"
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Microsoft Graph PowerShell SDK

可以在 Windows PowerShell 中运行以下命令集。 这些命令使用 Microsoft Graph PowerShell SDK 获取租户中使用 ADAL 的所有应用程序的列表。

1. 以管理员身份打开 Windows PowerShell。

2. 连接到 Microsoft Graph：

   • Connect-MgGraph-Tenant <YOUR_TENANT_ID>

3. 选择配置文件：

   • Select-MgProfile beta

4. 获取建议列表：

   • Get-MgDirectoryRecommendation | Format-List

5. 使用如何迁移到 MSAL 中的说明更新应用的代码。

常见问题

使用从 ADAL 迁移到 MSAL 的建议时，请查看以下常见问题。

为什么需要 30 天才能将状态更改为已完成？

为了减少误报，服务对 ADAL 请求使用了 30 天的时间范围。 这样，服务可以在没有 ADAL 请求的情况下运行几天，并且不会被错误地标记为已完成。

在建议发布之前，ADAL 应用程序是如何识别的？

要识别这些应用，还可使用 Microsoft Entra 登录工作簿。 仍然可以使用工作簿，但使用工作簿需要先将登录日志流式传输到 Azure Monitor。 ADAL 到 MSAL 的建议是开箱即用的。 此外，登录工作簿不会捕获服务主体登录，而建议会捕获。

为什么工作簿和推荐中 ADAL 应用程序的数量不同？

由于建议捕获服务主体登录，而工作簿没有，因此建议可能会显示更多 ADAL 应用程序。

如何在租户中识别应用程序的所有者？

可以从推荐详细信息中找到所有者。 选择资源，它将转到应用程序的详细信息。 从导航菜单中选择“所有者”。

状态是否可以从已完成更改为活动？

是的。 如果应用程序被标记为已完成 - 因此在 30 天的时间范围内没有提出 ADAL 请求 - 那么该应用程序将被标记为完成。 如果服务检测到新 ADAL 请求，状态将变回活动状态。

后续步骤

• 查看 Microsoft Entra 建议概述
• 了解如何使用 Microsoft Entra 建议
• 探索 Microsoft Graph API 属性以获取建议